Ab Oktober 2026 verschärft das NISG 2026 die Spielregeln der Cybersicherheit grundlegend. Tausende Unternehmen geraten in eine neue Nachweispflicht, und Cybersecurity wird endgültig zur Chefsache. Was bislang als technisches Risiko galt, wird zur strategischen Managementverantwortung mit haftungsrechtlichen Konsequenzen.
Text: Stephan Scoppetta
Ein externer Dienstleister, eine Fernwartungssoftware, ein kurzer Moment technischer Verwundbarkeit – und plötzlich steht eine Klinikgruppe unter Cyberdruck. 2025 wurden in den Humanomed-Privatkliniken Maria Hilf in Klagenfurt und Villach-Warmbad verdächtige Aktivitäten im Radiologiesystem festgestellt. Die Spur führte nicht in ein internes Kernsystem, sondern zu einem externen Partner. Über dessen Fernwartungszugang verschafften sich Angreifer Zugriff auf Teile des Netzwerks.
In einer Umgebung mit hochsensiblen Patientendaten genügt ein solcher Vorfall, um massiven Handlungsdruck auszulösen. Das Einfallstor lag nicht im eigenen System, sondern in der Lieferkette. Genau hier setzt NIS-2 an: Die Regulierung versteht Cybersicherheit als vernetztes Gesamtrisiko. Wer Energie liefert, Gesundheit versorgt oder digitale Infrastruktur betreibt, ist Teil eines eng verflochtenen Ökosystems – ein Angriff kann sich entlang der Wertschöpfungskette fortpflanzen und wirtschaftliche Kettenreaktionen auslösen.
Cybercrime auf Rekordniveau.
Der Fall Humanomed ist kein Ausreißer. Laut polizeilichem Cybercrime-Report werden in Österreich seit dem Jahr 2022 über 60.000 Fälle von Internetkriminalität pro Jahr angezeigt – mehr als doppelt so viele wie 2019. Die Aufklärungsquote liegt bei etwas mehr 31 %. In der KPMG-Studie „Cybersecurity in Österreich 2025“ ist jeder siebente Angriff erfolgreich, 28 % werden staatlich unterstützten Akteuren zugerechnet. Bei 32 % der Unternehmen wirkten sich Angriffe auf Lieferanten unmittelbar aus. „Jeder siebente erfolgreiche Angriff ist ein Warnsignal“, sagt Robert Lamprecht, Partner und Cybersecurity-Spezialist bei KPMG Austria. „Wir führen einen fragilen Abwehrkampf auf hohem Bedrohungsniveau.“ Cyberangriffe sind damit ein systemisches Unternehmensrisiko. Besonders brisant ist, dass sich die Angriffsmuster verändern. Neben klassischen Phishing-Kampagnen und Malware-Attacken gewinnen gezielte Manipulationen von Geschäftsprozessen an Bedeutung. Social-Engineering-Angriffe arbeiten zunehmend mit Deepfake-Technologien, also täuschend echten Sprach- oder Videonachrichten. Für Unternehmen bedeutet das: Die Grenze zwischen technischer Sicherheitsfrage und organisatorischer Resilienz verschwimmt.
Die Perspektive der Behörde.
Für das Bundesministerium für Inneres (BMI) ist das NISG 2026 mehr als eine weitere Regulierung. „Ziel ist die kontinuierliche Stärkung der Cybersicherheit in Österreich durch mehr Resilienz wesentlicher und wichtiger Einrichtungen“, betont das Innenressort. Der Staat reagiert damit auf eine Bedrohungslage, die längst nicht mehr nur einzelne Unternehmen betrifft, sondern ganze Versorgungs- und Wertschöpfungssysteme. „Entscheidend ist die Risikobeurteilung der betroffenen Einrichtung“, heißt es aus dem Ministerium. Unternehmen sollen ihre Systeme, Prozesse und Lieferketten strukturiert analysieren und auf dieser Basis angemessene Maßnahmen setzen. Die Behörde verstehe sich dabei nicht nur als Kontrollinstanz, sondern auch als koordinierende Stelle auf technischer, operativer und strategischer Ebene.
Vom IT-Thema zur Vorstandspflicht.
Mit der EU-Richtlinie NIS-2 und ihrer Umsetzung im NISG 2026 reagiert der Gesetzgeber auf die verschärfte Bedrohungslage. Das Gesetz gilt ab 1. Oktober 2026. Statt unter der bisherigen Rechtslage rund 100 Einrichtungen werden künftig mehrere tausend Organisationen als „wesentliche“ oder „wichtige“ Einrichtungen erfasst – etwa 4.000 direkt sowie 50.000 bis 60.000 Lieferanten indirekt. „NIS-2 verändert Security von einer taktischen Pflicht zu einem unternehmensweiten Imperativ“, so Lamprecht. Vorstände müssen Maßnahmen genehmigen und überwachen; bei Verstößen drohen Bußgelder von bis zu zehn Millionen Euro oder bis zu 2 % des weltweiten Jahresumsatzes. Cybersicherheit wird damit zur Chefsache – strategisch verankert in Governance und Risikomanagement, mit klarer Schulungspflicht für Leitungsorgane.
Lieferketten als Achillesferse.
Der Humanomed-Fall verdeutlicht, warum die Lieferkette ins Zentrum rückt. „Unzureichende Sicherheitsstandards bei Lieferanten öffnen Cyberkriminellen Tür und Tor“, warnt Lamprecht. 47 % der Unternehmen sorgen sich um das Sicherheitsniveau ihrer Zulieferer, 38 % kennen deren Maßnahmen nicht genau. Auch KMU müssen daher künftig ein angemessenes Sicherheitsniveau nachweisen – sonst drohen Auftragsverluste. Für viele kleinere Betriebe bedeutet das einen Paradigmenwechsel. Cybersicherheit wird vom Kostenfaktor zum Marktzugangskriterium. Wer glaubhaft dokumentieren kann, dass er Mindeststandards erfüllt, verschafft sich einen Wettbewerbsvorteil. Wer das Thema ignoriert, läuft Gefahr, aus sensiblen Lieferketten ausgeschlossen zu werden.
Was Unternehmen jetzt tun müssen.
Bis Oktober 2026 ist es weniger Zeit, als es scheint. Aus Sicht der Praxis kristallisieren sich drei zentrale Handlungsfelder heraus:
Erstens geht es um Klarheit. Unternehmen müssen prüfen, ob sie als wesentliche oder wichtige Einrichtung eingestuft werden – und wo sie tatsächlich stehen. Eine ehrliche Gap-Analyse der bestehenden Sicherheitsmaßnahmen bildet die Grundlage für alle weiteren Schritte.
Zweitens braucht es ein strukturiertes Risikomanagement. Ein Informationssicherheits-Managementsystem – oft angelehnt an ISO/IEC 27001 – bildet den Rahmen. Business-Impact-Analyse, klare Verantwortlichkeiten, getestete Incident-Response-Pläne und Meldeabläufe binnen 24 beziehungsweise 72 Stunden sind zentrale Elemente.
Drittens entscheidet die Nachweisfähigkeit. Registrierung und einmalige Selbstdeklaration sind verpflichtend. „Bei der Registrierung werden grundlegende Unternehmensdaten erfasst. Die Selbstdeklaration soll der Cybersicherheitsbehörde einen ersten Überblick über den Stand der Cybersicherheit geben und bildet die Grundlage für ein risikobasiertes Vorgehen“, erklärt das BMI. Im Fokus stehen eingesetzte Systeme, die Sicherheit der Lieferketten sowie der konkrete Umsetzungsstand der Maßnahmen. Damit entsteht erstmals ein strukturierter Abgleich zwischen Eigenbewertung der Unternehmen und behördlicher Risikoeinschätzung. Wer hier nur formal antwortet, riskiert bei späteren Prüfungen empfindliche Konsequenzen.
Bei Sicherheitsvorfällen gelten klare Fristen: „Eine Frühwarnung hat binnen 24 Stunden zu erfolgen, eine konkrete Meldung spätestens binnen 72 Stunden“, so das BMI. Entscheidend sei die Wirksamkeit der Maßnahmen, nicht formale Dokumentation.
Cyberresilienz als Wettbewerbsfaktor.
Für Unternehmen stellt sich eine pragmatische Frage: Wie beweise ich, dass ich kein Cyberrisiko bin? Instrumente wie das CyberRisk Rating by KSV1870 bewerten IT-Risiken standardisiert und schaffen Transparenz gegenüber Kunden und Behörden. Der CyberRisk Manager ermöglicht die strukturierte Überwachung von Lieferanten. Cyberresilienz wird damit messbar. Gerade für größere Organisationen mit hunderten oder tausenden Geschäftspartnern wird die strukturierte Bewertung der Lieferkette zum strategischen Steuerungsinstrument. Ratings und Monitoring-Tools ermöglichen es, Risiken transparent zu machen, Prioritäten zu setzen und Verbesserungsprozesse anzustoßen. In Verbindung mit technischen Sicherheitsleistungen – etwa im Rahmen der Kooperation zwischen KSV1870 und A1 – kann so ein integrierter Ansatz entstehen, der regulatorische Anforderungen und praktische Absicherung verbindet.
Wir sind in einer neuen Realität der Cyberangriffe angekommen.
Eine neue Normalität.
Die Bedrohungslage wird nicht verschwinden. „Wir sind in einer neuen Realität der Cyberangriffe angekommen“, sagt Lamprecht. NIS-2 zwingt Unternehmen, Sicherheit als Teil ihrer strategischen Stabilität zu begreifen. Resilienz ist keine Option, sondern Überlebensstrategie. Für Unternehmen bedeutet das, Cybersicherheit nicht als reaktive Maßnahme nach einem Vorfall zu begreifen, sondern als kontinuierlichen Managementprozess. NIS-2 setzt einen klaren Rahmen – die eigentliche Arbeit beginnt jedoch innerhalb der Organisation. Wer jetzt strukturiert vorgeht, verschafft sich nicht nur regulatorische Sicherheit, sondern stärkt auch Vertrauen bei Kunden, Partnern und Investoren.
Aus dem Magazin forum.ksv - Ausgabe 01/2026.
Fotocredit: KPMG Austria
